Administration und Management

Präsentation zum Thema: "Administration und Management"—  Präsentation transkript:

1 Administration und Management
<<Presentation Title>> Administration und Management Administration - Betriebssysteme und Applikationen erfolgreich bereitstellen Zu den wichtigsten Aufgaben der Administration gehören die Konfiguration der Clients und die Bereitstellung der Applikationen für die Benutzer. Gruppenrichtlinien, Remote Installation Services, Terminal Services und Windows Update Service sind hier die Stichworte. Wir durchleuchten die Gruppenrichtlinienvereinfachungen mit der neuen GPMC, schauen uns die erweiterten RSoP - Funktionalität (Resultant Set of Policies) genauer an. Mit WMI Filtern lassen sich Gruppenrichtlinien in Abhängigkeit von Benutzer- oder Clienthardware-Eigenschaften anwenden. Die neuen Terminalservices bieten eine Vielzahl neuer und erweiterter Möglichkeiten und lassen sich via AD leicht konfigurieren. Die Windows Update Services ermöglichen das Aufsetzen eines Intranetservers, von dem sich Clients automatisch die neuesten Patches "ziehen".

2 Administration und Management
<<Presentation Title>> Administration und Management Björn Schneider Consultant IT-Security ITaCS GmbH Technical Level 300

3 Agenda Verbesserungen der Administration
Management mit Gruppenrichtlinien Active Directory im Detail Automated System Recovery (ASR) Softwaremanagement mit RIS und SUS Windows System Ressource Management Die neuen Terminal Services

4 Verbesserungen der Administration
DCPROMO Management Console (MMC) Effektive Berechtigungen

5 DCPROMO Automatische DNS Fehlererkennung
Erkennt DNS Probleme beim Hochstufen Liefert detaillierte DNS Informationen Bietet dem Admin eine Autokonfiguration Konfiguration der Netzwerkkarten Automatische Installation des DNS Services Erstellung der DNS Zonen domain.de _msdcs.domain.de

6 DCPROMO AD Installation von Backup Medien
Installation eines DCs in einer Außenstelle DCPROMO auch mit 128 K/bit Anbindung Initiale Replikation erfolgt mit Systemstate-Backup (*.bkf) Grundlage ist ein DC aus der gleichen Domäne Backup darf nicht älter als 60 Tage sein Differenzielle Replikation danach übers Netzwerk Funktion wird mit Setup Schalter gestartet >dcpromo /adv

7 Management Console „Object Picker“ und „Saved Queries“
„Object Picker“ zum Finden von Objekten Einfache Suchmaske zum Auffinden und Auswählen von AD-Objekten wie… Benutzer-, Gruppen- und Computernamen „Saved Queries“ bei häufigen Suchanfragen Beliebige LDAP Suchanfragen wiederverwenden z.B. „Finde alle Benutzerkonten bei denen die letzte Anmeldung mehr als 60 Tage zurückliegt“

8 Effective Rights Ermitteln der effektiven NTFS-Berechtigungen eines Objektes z.B. Benutzer oder Gruppe „Darf Erwin Lindemann die Datei Gehalt.txt lesen?“

9 <<Presentation Title>>
Object Picker Saved Queries Effective Rights

10 Neue Policies WMI Filter GPMC, RSoP
Gruppenrichtlinien Neue Policies WMI Filter GPMC, RSoP

11 <<Presentation Title>>
Gruppenrichtlinien Windows 2003 Domain “Neue Policy” Gruppenrichtlinien kurz erklärt Problemstellung des Kunden: Wünsche nach weiteren Steuerungsmöglichkeiten durch GPOs (z.B. Terminal Service, IIS) GPOs können komplex werden Anwendung der GPOs auf Zielobjekte könnte noch flexibler sein Viele Computer- Ergebnisse Viele User- Ergebnisse

12 Gruppenrichtlinien Was ist neu?
<<Presentation Title>> Gruppenrichtlinien Was ist neu? Neue Richtlinien für… Drahtlose Netzwerke Terminal Service & IIS Einstellungen Software Restriction Policy Verwaltbarkeit Alle Richtlinien voll dokumentiert Resultant Set Of Policies (RSoP) Group Policy Management Console (GPMC) WMI-Filter Antworten auf Problemstellung: Hunderte neuer Richtlinien, z.B. Terminalservice IIS-Installationsverbot Eigene Dokumente-Redirection Neue Steuerungsmöglichkeiten Drahtlose Netzwerke Softwareeinschränkung Software-Full Install Flexiblere Anwendungskriterien WMI-Filter Übersichtlichere Verwaltungswerkzeuge RSoP GPMC

13 Gruppenrichtlinien Software Restriction Policies
<<Presentation Title>> Gruppenrichtlinien Software Restriction Policies Erhöhte Systemsicherheit gegenüber Bedrohung durch „malicious code“ Erkennt unbekannte oder „untrusted“ Software Wird über GPO verteilt 2 Sicherheitslevel (Allow/Deny) Kein Ersatz für Anti-Virus-Programm Software restriction policies address the need to regulate unknown or untrusted software. With software restriction policies, you can protect your computing environment from untrusted software by identifying and specifying which software is allowed to run. You can define a default security level of unrestricted or disallowed for a GPO so that software is either allowed or not allowed to run by default. You can make exceptions to this default security level by creating rules for specific software. Systemsicherheit erhöhen gegenüber Virusbedrohung Erkennt unbekannte oder untrusted SW Kein Ersatz für Anti-Virus-Programm Wird über GPO verteilt Sicherheitslevel Unrestricted und Disallowed 4 zusätzliche Regeln möglich Hash, Certificate, Internet Zone, Path

14 Gruppenrichtlinien Software Restriction Policies
<<Presentation Title>> Gruppenrichtlinien Software Restriction Policies

15 Gruppenrichtlinien Group Policy Management Console (GPMC)
Verwaltet GPOs im ganzen AD Forrest Einfache Verwaltung aller GPOs in einem Tool Sehr übersichtliche GPO und OU Darstellung Saubere Dokumentation aller GPO Settings Erstellung von HTML Zusammenfassungen Bequeme Suche nach bestimmten GPOs z.B. „Finde alle GPOs, in denen die Gruppe EDV Rechte zum Editieren besitzt und Folder Redirections gesetzt sind“

16 Gruppenrichtlinien Group Policy Management Console (GPMC)
Planungsmodus zur Analyse von GPOs „What if“ Szenarien mit Resultant Set of Policies Ermöglicht eine Überprüfung von GPOs am Live System OU Planung mit Group Policy Modeling Ermöglicht Planung von GPOs auf OU Basis Backup/Restore sowie Import/Export von Gruppenrichtlinien Austausch von GPOs zwischen Active Directories Backup and Restore von GPOs für Notfälle

17 <<Presentation Title>>
Gruppenrichtlinien Software Restriction Policy WMI Filter GPMC

18 Active Directory im Detail
Windows 2003 Domain Active Directory im Detail Replikation Trusts Rename

19 Verbesserte AD Replikation Die neuen Transport Generatoren
Gruppenmitglieder sind nun einzelne Objekte Beseitigung des Two-Way-Edit Problems Geringere Latenzen bei Intra-Site Replikation Windows 2000: AD Änderungen wurden alle 5 Minuten mit einer Latenzzeit von 30 Sec Repliziert (willkürlich) Windows 2003: AD Änderungen werden alle 15 Sec mit einer Latenzzeit von 3 Sec Repliziert Schnelle Kompression bei Inter-Site Replikationen (XPRESS Algorithmus)

20 Verbesserte AD Replikation Gecachte Global Catalog Informationen
Windows 2000 Global Catalog Problematik GC ist für eine Domänen Anmeldung erforderlich, da Speicherort der Universal Group Mitgliedschaften Windows 2003 DCs können Globale Cataloge cachen Es werden nur die benötigten Daten über das WAN abgerufen Gecachte Daten werden beim Ausfall des WANs Links genutzt Domänen Anmeldung ist nun mit einem Offline GC möglich

21 Cross Forest Authentifizierung Neuer Wizard für Vertrauensstellungen
Einfache Erstellung von Vertrauensstellungen Zwischen zwei Forests über Kerberos (Transitiv) Zeitgleiche Konfiguration der beiden Active Directory Forest‘s Zwischen einzelnen Domänen (W2k3, W2k, NT4) Zwischen AD und nativem Kerberos v5 Realm Trust-Firewall beschränkt die Zugriffe Eingebauter SID Filter verhindert SID History Angriffe Wahlweise eingeschränkter Zugriff über Vertrauensstellungen

22 Cross Forest Authentifizierung Geltungsbereiche der Vertrauensstellungen
Forest Trust A-B Forest Trust B-C X Kein Trust!

23 Umbenennen von DC‘s, Domänen Corporate Identity für das Active Directory
Umbenennen von Domänen Controller Mit Hilfe der UI „Computernamen ändern“ Mit dem Befehlszeilen Programm NETDOM.EXE Windows Server 2003 Domain Rename Tool Umbenennen von ganzen Forest Strukturen Umbenennen einer einzelnen Win2003 Domäne Umbenennen eines ganzen Win2003 Trees Domäne/Forest muss im 2003er Modus sein! Original Kommentar aus dem Domain Rename Whitepaper: “it is not intended to make domain rename a routine operation”

24 Neue Active Directory Funktionen Und die vielen Änderungen am Rande…
Redirecting Default Users and Computers Containers Deactivation of Attributes/Classes in the Schema Kerberos Delegation Model Improvements Prevent Overloading Domain Controllers Lingering Objects Removal Mechanism Forceful Domain Controller Demotion Synchronize Restore Mode Password Enhanced Replication Monitoring Application Directory Partitions Active Directory Object Quotas LDAP Improvements … und noch einige mehr!

25 <<Presentation Title>>
Universal Group Caching

26 Automated System Recovery (ASR)
Desaster Recovery Automated System Recovery (ASR)

27 Disaster Recovery Grundlagen
Physikalische Zerstörung von Computersystemen Feuer, Erdbeben, Wassereinbruch, etc. Katastrophaler Hardwarefehler Meist Storage-Systeme Recovery: Wiederherstellen der Hardwarekonfiguration Wiederherstellen des Betriebssystems und der Anwendungen Wiederherstellen der Nutzdaten

28 Manuelle Systemwiderherstellung Früher
Beschaffung und Einbau neuer Hardware Installation von Windows Server Konfigurieren aller physikalischen Laufwerke mit den originalen Einstellungen Installation der Backup-Software sowie der benötigten Backupmedien-Treiber Wiederherstellung des Betriebssystems Reboot und Überprüfen der Dienste Wiederherstellen der Daten

29 Automated System Recovery (ASR) Heute (2003 und XP)
Beschaffung und Einbau der neuen Hardware Booten von der Windows CD Ausführen von ASR Einlegen des Backupmediums Wiederherstellen der Daten

30 Automated System Recovery Ablauf
<<Presentation Title>> Automated System Recovery Ablauf Backup Medium für Daten Installationsmedium Backup Software (Optional) Windows CD Windows Innstallations-medium Online ASR Backup Medium ASR Floppy

31 Automated System Recovery Ziele
Stadium für „non-bootable“ Systeme schaffen, von dem aus Backup/Restore Applikationen ausgeführt werden können Konfigurieren aller physikalischen Laufwerke mit den originalen Einstellungen Widerherstellung des Betriebssystems und aller Dienste und Anwendungen mit ihren Einstellungen Mechanismus für Hersteller um auf die ASR-Features zuzugreifen

32 Automated System Recovery Unterstützte Konfigurationen
Basic und Dynamische Festplatten x86 und ia64 Plattformen MBR und GPT (EFI) Laufwerke Benötigt Floppy Laufwerk ! ASR ist keine Netzwerkwiederherstellung, aber ASR kann komplett mit RIS automatisiert werden Keine Floppy notwendig da PXE Boot Kein F2 um ASR zu starten

33 <<Presentation Title>>
Automated System Recovery

34 Softwaremanagement mit RIS und SUS
<<Presentation Title>> Softwaremanagement mit RIS und SUS Remote Installation Service (RIS) Software Update Service (SUS)

35 Remote Installation Service Neue Features
<<Presentation Title>> Remote Installation Service Neue Features Installation von Servern via RIS 64-Bit Unterstützung Windows XP 64 Bit Windows Server Bit Edition NTLMv2 als Authentifizierungsprotokoll Automatisches Autorisierung im AD Features Mehrere Sprachen Bearbeiten der multilng.osc und abspeichern als welcome.osc Auswahl der entsprechend unterstützten Sprachen PXE Start ohne “F12“ 2 Dateien: Startrom.com und Startrom12.com Startrom.com: Standard, starten mit F12 Startrom12.com: kein Bestätigen mit F12 Umbenennen der startrom12.com in startrom.com 64-bit Unterstützung Verwendet NTLMv2 Authentifizierungs Protokoll

36 Remote Installation Service Neue Features
Unterstützung mehrerer Sprachen Bearbeiten der multilng.osc und abspeichern als welcome.osc PXE Start auch ohne “F12“ startrom.com  Starten mit F12 startrom12.com  kein Bestätigen mit F12

37 Software Update Service
Installieren von Betriebssystemupdates über einen internen Install-Server Für alle Windows 2000, Windows XP und Windows Server 2003 Clients Gilt derzeit nur für QFEs von Windows und Internet Explorer Neue Version SUS 2.0 wird erwartet Alle Patches aller MS Produkte Auch Treiber und Empfohlene Software 3rd Party Integration für andere Software

38 Software Update Service
WHQL QFEs Features Microsoft Device Drivers Software Windows Update Internet Signed Cabs SUS Intranet XML & SOAP Software Update Server Clientkomponenten: Automatic Update Dynamic Update Device Manager XML & SOAP

39 Software Update Service Voraussetzungen
Betriebssystem Serverseitig Windows 2000 Server (IIS 5) Small Business Server 2000 (IIS 5) Windows Server 2003 (IIS 6) Rollen Serverseitig Memberserver (Empfohlen) Seit SUS SP1 auch DC Konfiguration der Clients (ab Windows 2000) Gruppenrichtline (Empfohlen) Registry Eintrag

40 <<Presentation Title>>
Software Update Service

41 Windows System Ressource Management (WSRM)
Einsatzmöglichkeiten

42 Windows Ressource Management Was kann WSRM?
Definieren von Ressourcenverbrauch für bestimmte Applikationen (CPU und Memory) Wahl des Prozesses, der gemanagt werden soll Setzen der Werte bzw. Limits für Ressourcenverbrauch Managen von Ressourcen mittels Policies CPU Auslastung (% CPU) Process working set size (physical resident pages) Zugewiesener Speicher (page table und page file usage)

43 Windows Ressource Management Was kann WSRM?
Zuweisen von Richtlinien zu bestimmten Zeiten Benachrichtigung bei speziellen Events Generierung, Darstellung, Speicherung und Export der gesammelten Daten

44 Windows Ressource Management Einsatzmöglichkeiten
<<Presentation Title>> Windows Ressource Management Einsatzmöglichkeiten Serverkonsolidierungsszenario Skalierung von Systemressourcen für Eine oder mehrere wichtige LOB Applikationen Große Terminal Server Systeme Mehrere SQL Server Instanzen Ressourcenverbrauch von individuellen IIS6 Applikationspools auf einem Server Falls SQL Server, IIS und Exchange auf der selben Maschine laufen sollten

45 Terminal Services RDP 5.2 Session Directory

46 Terminal Dienste Überblick
<<Presentation Title>> Terminal Dienste Überblick Remote Desktop (Administrationsmodus) Lizenzfrei, keine Installation erforderlich 2 Administratoren + 1 Konsolensitzung MSTSC /CONSOLE Zunächst „disabled“ (Paradigma!) Anwendungsmodus 2x mehr gleichzeitige Nutzer Session Directory Zwei Sicherheitsmodelle

47 Terminal Dienste Der neue RDP Client
<<Presentation Title>> Terminal Dienste Der neue RDP Client RDP 5.1/5.2 True Color 24 Bit, 1600 x 1024 Auflösung Redirection Lokale und Netzwerklaufwerke Lokale und Netzwerkdrucker Serielle und Parallele Ports Sound, Zeitzone Ganzseitendarstellung, Verbindungsoptimierung Volle 128Bit Verschlüsselung (FIPS 140-1) Smartcard-Unterstützung

48 Terminal Dienste Der neue RDP Client
Windows Client als… Full Client (.MSI-File) MMC SnapIn Web Client (ActiveX-control) RDP 5.1 Client auch für andere Betriebssysteme Windows 9.x, ME Windows NT Windows 2000 Apple Mac OS X

49 Terminal Dienste Bessere Verwaltung Fast Reconnect Session Directory
Remote Desktop Users - Gruppe Neue Gruppenrichtlinien (z.B. Software Restriction Policy, TS Settings) Windows System Resource Manager (WSRM) ADSI und WMI-Zugang zu TS-Settings Fast Reconnect Session Cookie zum Identifizieren des Benutzers Session Directory Erlaubt das Zuordnen verlorener TS-Sessions zum ursprünglichen NLB-Knoten

50 Terminal Dienste Session Directory
TS-1 TSFARM (NLB) Cluster für Session Directory und Benutzerprofile TS-2 Jane Doe *********** X Jane Doe Keine aktive Session TS-3

51 Terminal Dienste Session Directory
TS-1 Cluster für Session Directory und Benutzerprofile TS-2 Jane Doe *********** Jane Doe *********** Aktive Session auf TS-2 TS-3 Reconnect to TS-2 ! Jane Doe

52 <<Presentation Title>>
Terminaldienste Session Directory

53 Ressourcen Windows Server 2003 Home Neue Features /evaluation/features/featuresorter.aspx Windows Resource Manager /downloads/wsrm.mspx Domain Rename Tools /downloads/domainrename.mspx Lizenzierung /howtobuy/licensing/default.mspx

54

55 <<Presentation Title>>
Final Slide #1 Questions and Answers This Slide should be included in all presenations

56 Ihr Potenzial. Unser Antrieb.